Исследователи ESET обнаружили нового троянского коня (известного как бэкдор), который атакует отдельных пользователей Windows. Объекты атаки, механизм и код вируса указывают на то, что он мог быть создан известной группировкой Lazarus, которую связывают с Северной Кореей. Киберпреступники из этой группы регулярно атакуют южнокорейскую инфраструктуру по меньшей мере с 2011 года. Они также несут ответственность за атаки на Sony Pictures Entertainment.
Подробности о новом вирусе
Недавно обнаруженная угроза – это так называемый загрузчик WinorDLL64, который используется вредоносным инструментом Wslink. Он может похищать, перезаписывать и удалять файлы, выполнять команды и получать большое количество системной информации. По принципу работы и коду он похож на другие программы группы APT Lazarus. Поэтому он может быть одним из многих инструментов, подготовленных киберпреступниками, связанными с Северной Кореей.
"Wslink", имя файла которого WinorLoaderDLL64.dll, – это загрузчик бинарных файлов Windows, который, в отличие от других подобных программ, выполняет роль сервера и сохраняет полученные модули в памяти. Как следует из названия, загрузчик служит инструментом для загрузки элементов или вредоносного программного обеспечения в уже зараженную систему. Элемент, загруженный через Wslink, может затем сделать возможным атаки бокового перемещения из-за его особой склонности к сетевым сессиям. Модуль загрузки Wslink прослушивает порт, указанный в конфигурации, и может обрабатывать дополнительные клиенты, подключающиеся к нему, и даже внедрять дополнительные вредоносные элементы в систему", – объясняет исследователь ESET, который сделал это открытие.
Новый троянский конь был загружен на сервис идентификации угроз VirusTotal из Южной Кореи вскоре после того, как исследователи ESET опубликовали информацию о Wslink. ESET обнаружила лишь несколько случаев его активности в Центральной Европе, Северной Америке и на Ближнем Востоке. Однако исследователи AhnLab подтвердили, что угроза атаковала южнокорейских пользователей. Это важная информация, учитывая традиционные цели Lazarus.
"Скрытая кобра"
Связанная с Северной Кореей группа Lazarus действует по меньшей мере с 2009 года и несет ответственность за такие резонансные преступления, как взлом Sony Pictures Entertainment, кибератаки, нанесшие ущерб на десятки миллионов долларов в 2016 году, атака WannaCryptor (также известная как WannaCry) в 2017 году и длинный список атак на государственную и критическую инфраструктуру Южной Кореи по меньшей мере с 2011 года. US-CERT и ФБР называют эту группу HIDDEN COBRA.
